La industria de la ciberseguridad lleva años repitiendo un mantra: no se trata de si una organización será atacada, sino de cuándo. Pero en 2025 hay una idea que suena con más fuerza en los equipos de IT: tampoco basta con poder recuperar datos, hay que asegurarse de que el propio proceso de recuperación no sea el eslabón débil. Porque, en muchos incidentes, el atacante no entra “a lo bruto”; entra con credenciales, a menudo con privilegios elevados, y opera con la calma de quien tiene una llave legítima.
En ese escenario, Commvault (NASDAQ: CVLT) anunció el 11 de diciembre de 2025 una alianza con Delinea, compañía especializada en gestión de accesos privilegiados (PAM). El acuerdo se concreta en una integración tecnológica que conecta Commvault Cloud con Secret Server de Delinea. La promesa es clara: ayudar a los clientes a reforzar la seguridad de credenciales vinculadas a entornos de copia de seguridad y recuperación, facilitar el cumplimiento normativo y reducir fricción operativa en un terreno donde los errores se pagan caros.
La “identidad” como nuevo perímetro: el atacante ya no necesita romper la puerta
En 2024, según cifras citadas en el anuncio, casi un tercio de los incidentes de seguridad (33%) estuvo relacionado con identidades privilegiadas comprometidas. El dato resume una realidad incómoda: cuando un atacante obtiene una cuenta con permisos altos —o consigue escalar hasta ella— la defensa deja de girar en torno al firewall o al EDR y pasa a depender de cómo se controla el acceso, cuánto dura y qué rastros deja.
El problema se ha agravado por un fenómeno menos visible para el público general, pero muy cotidiano en los equipos técnicos: la proliferación de identidades no humanas. Son credenciales de aplicaciones, scripts, pipelines y servicios automatizados que hacen funcionar procesos críticos. La mayoría se crean por necesidad, muchas se mantienen por inercia y no pocas acaban con más permisos de los necesarios. En los entornos de backup, además, suelen gozar de acceso amplio para poder leer, copiar, mover o restaurar datos. Ese poder, en manos equivocadas, convierte el “plan B” de la empresa (su recuperación) en un objetivo prioritario.
Porque el atacante moderno no solo busca cifrar. También busca borrar copias, sabotear restauraciones o introducir persistencia en los sistemas que deberían rescatar el negocio cuando todo falla.
Qué cambia con la integración: credenciales menos expuestas y acceso más controlado
La integración Commvault Cloud + Delinea Secret Server apunta a un punto crítico: evitar que las credenciales de backup vivan demasiado tiempo, estén demasiado repartidas o se gestionen con métodos manuales difíciles de auditar. Según explican ambas compañías, la tecnología conjunta introduce tres capas de control que persiguen lo mismo: reducir privilegios permanentes y aumentar trazabilidad.
1) Gestión centralizada y rotación de credenciales
Uno de los retos clásicos en grandes organizaciones es que el entorno de protección de datos se convierte en un “ecosistema paralelo”: cuentas de servicio para conectarse a repositorios, credenciales para ejecutar jobs, accesos para restaurar, llaves para automatizaciones… Con el tiempo, algunas se duplican, otras quedan huérfanas y otras se mantienen por miedo a romper procesos.
La integración pretende centralizar ese caos en un repositorio de secretos (secrets vault) desde el que almacenar, gobernar y rotar credenciales de forma controlada. El mensaje de negocio es claro: menos complejidad y menos “cuentas olvidadas” que terminan siendo el punto de entrada perfecto.
2) Acceso Just-in-Time para cada backup o restore
El segundo pilar es el enfoque Just-in-Time (JIT): emitir credenciales temporales para cada operación y revocar el acceso al finalizar. Es un cambio de mentalidad. En lugar de “una cuenta con privilegios siempre disponibles”, se apuesta por credenciales efímeras que existen solo el tiempo imprescindible.
En un entorno donde los atacantes buscan persistencia, esa reducción de ventana puede ser decisiva. Si la credencial no está ahí cuando el atacante la busca, el golpe se complica. Y si, además, el sistema registra cada emisión y revocación, el control gana densidad.
3) Auditoría y mínimo privilegio para cumplir sin improvisar
El tercer eje es el de la auditoría y el cumplimiento: aplicar el principio de mínimo privilegio (solo lo necesario, solo cuando se necesita) y disponer de registros detallados que permitan demostrar control. En el anuncio se menciona expresamente el apoyo a iniciativas de compliance que suelen estar en la agenda de grandes empresas y sectores regulados, incluyendo SOX, HIPAA, PCI-DSS y el RGPD.
Esto no es solo “papel”. En la práctica, muchas organizaciones se enfrentan a auditorías en las que tienen que explicar quién accede a qué, por qué y durante cuánto tiempo. Cuando el proceso de backup es crítico y complejo, la trazabilidad deja de ser un extra y se convierte en un requisito para dormir tranquilos.
Un enfoque que une continuidad de negocio y seguridad de identidad
Desde Commvault, la narrativa es la de la “resiliencia unificada”: juntar seguridad de datos, resiliencia de identidad y ciberrecuperación en una sola plataforma. El discurso sugiere que la recuperación no debe ser un departamento aislado, sino una disciplina que convive con seguridad, identidad y operación diaria.
Delinea, por su parte, empuja una idea clave: la ciberresiliencia depende tanto de recuperar como de hacerlo de forma fiable. En un incidente real, el peor escenario es descubrir que sí había copias… pero que el atacante también tenía la llave para manipularlas.
Ese es el miedo silencioso que recorre a muchos CISOs: que el atacante llegue antes al sistema de recuperación que el propio equipo de respuesta. Por eso, cualquier mejora en la seguridad de credenciales en el mundo del backup se interpreta como un refuerzo directo al corazón del plan de continuidad.
Disponible a nivel global y sin coste adicional para clientes conjuntos
La integración anunciada se ofrece a nivel global para clientes que trabajen con ambas soluciones y, según la información compartida, llega sin coste adicional. Es un detalle relevante en un mercado donde muchas “integraciones” terminan traduciéndose en módulos extra, licencias separadas o proyectos largos de consultoría.
Aquí, la apuesta parece ser acelerar la adopción: cuanto antes se integren los controles PAM en el flujo de backup y restore, antes se reduce el riesgo de que una credencial mal gestionada convierta la recuperación en un talón de Aquiles.
Una conclusión clara: el backup ya no es solo capacidad, es confianza
Durante años, la conversación sobre copias de seguridad se centró en cuánto se podía almacenar, cuán rápido se recuperaba y si había deduplicación o inmutabilidad. Todo eso sigue importando. Pero el contexto actual empuja otra pregunta igual de incómoda: ¿quién puede tocar esas copias?
La alianza entre Commvault y Delinea apunta a esa respuesta. Porque, en el mundo real, la resiliencia se mide por la capacidad de volver a levantarse cuando el ataque ya ha ocurrido. Y ahí, la gestión de credenciales —humanas y de máquina— deja de ser un asunto de “higiene” para convertirse en una de las decisiones más estratégicas del IT moderno.
Preguntas frecuentes
¿Por qué los ataques basados en credenciales son especialmente peligrosos en entornos de copias de seguridad?
Porque si un atacante obtiene credenciales con privilegios, puede sabotear backups, impedir restauraciones o manipular el proceso de recuperación sin levantar tantas alertas como un ataque ruidoso.
¿Qué significa aplicar acceso Just-in-Time en trabajos de backup y restore?
Que el sistema genera credenciales temporales solo para la ejecución del trabajo y las revoca al terminar, reduciendo la ventana de exposición y el riesgo de abuso.
¿Qué son las identidades no humanas y por qué preocupan en ciberseguridad empresarial?
Son credenciales de servicios, aplicaciones y automatizaciones. Crecen rápido, a veces se controlan mal y pueden acumular permisos excesivos, convirtiéndose en un objetivo atractivo para atacantes.
¿Cómo ayuda un sistema de gestión de secretos a cumplir el RGPD en procesos de recuperación de datos?
Facilita el mínimo privilegio, la rotación y la trazabilidad de accesos, lo que mejora el control sobre quién accede a datos personales en operaciones críticas como copias y restauraciones.
fuente: Noticias sobre seguridad
